[스타트업 리포트] "해킹 최우선 표적 된 휴대폰" 유명 해커 박찬암 스틸리언 대표의 경고

고교 교과서에 실린 최연소 세계 해킹 챔피언
해킹 100% 차단 어려워...휴대폰, 인공위성, 드론, AI 해킹도 연구
'국가대표급 화이트 해커'. 사이버 보안 분야 신생기업(스틸리언) 스틸리언의 박찬암(36) 대표에게 따라붙는 수식어다. 돈이나 정치적 이유로 사이버 공격을 하는 블랙 해커와 달리 화이트 해커는 사이버 보안을 위해 해킹 기술로 취약점을 찾아내는 착한 해커다. 최연소 세계 해킹 챔피언, 최연소 보안팀장 등 여러 타이틀을 갖고 있는 그는 각종 정부기관과 기업의 사이버 보안 자문을 맡고 있으며 최근 SK그룹이 SK텔레콤 해킹 사고 이후 발족한 정보보호혁신특별위원회 자문단에도 참여하고 있다. 또 정부 의뢰로 사이버 전쟁에 필요한 기술도 개발한다. 서울 용산구 원효로에 위치한 스틸리언 사무실에서 그를 만나 최신 해킹 동향에 대해 알아봤다.

박찬암 스틸리언 대표가 서울 용산구 원효로 스틸리언 사무실에서 사명에 대해 설명하고 있다. 외계인 이야기를 좋아하는 그는 외계인에게서 훔친 기술이라는 의미로 사명을 지었다. 남동균 인턴기자

독학으로 최연소 세계 해킹 챔피언 돼

인하대 컴퓨터공학과를 졸업한 박 대표는 초등학교 5학년 때부터 드라마나 영화에서 멋있는 존재로 등장한 해커를 동경해 해킹을 혼자 공부했다. "무작정 해킹 책을 사서 책장이 떨어져 나가도록 반복해 읽었어요. 좋아하던 게임을 끊을 정도로 해킹에 빠져 중학교 2학년 때 해킹 대회에 나가 상을 받고 고교 시절 전국대회 우승을 했죠."

고교생 때 출중한 해킹 실력으로 KT를 구하기도 했다. "2006년 전국 PC방을 해킹할 수 있는 KT 인터넷의 접속장치(라우터) 취약점을 발견해 KT에 알렸어요. 덕분에 대형 사고를 막은 공로로 KT에서 선물을 받았죠."

그는 대학교 2학년 때인 2009년 HITB CTF 세계 해킹대회와 코드게이트 국제해킹방어대회에서 우승하며 19세 나이로 세계 해킹 챔피언이 됐다. 고교 교과서에도 실리고 TV 예능 프로그램에도 출연할 정도로 유명 인물이 된 그는 한글과컴퓨터의 사이버 보안 계열사 소프트포럼에 최연소 보안기술분석팀장으로 전격 채용됐다. "19세 때 보안업체 팀장을 하며 다양한 보안 소프트웨어를 개발했어요." 이후 라온시큐어의 보안기술연구팀장을 거치며 대학 졸업 전 25세 때인 2015년 스틸리언을 창업했다.

"해킹 100% 차단 힘들다"

'우리는 외계인의 기술을 훔친다(We steal alien technology).' 스틸리언 사무실에 들어서면 보이는 표어다. 그 정도로 기술에 자부심을 갖고 있는 박 대표는 표어를 줄여 사명을 지었다.

그럼에도 그는 "해킹을 100% 막는 보안 기술은 없다"고 말한다. "워낙 다양한 해킹 기술이 끊임없이 쏟아져 나오기 때문에 해킹 차단은 불가능해요. 보안 기술은 해커를 귀찮게 하고 힘들게 만드는 것이 핵심이죠. 해킹이 어렵고 오래 걸려 포기하도록 만들어야 해요."

이를 위해 스틸리언은 세 가지 사업을 한다. 우선 휴대 기기에서 사용하는 각종 소프트웨어(앱)를 보호하는 보안 소프트웨어 '앱 수트'를 제공한다. 앱 수트는 앱을 열어볼 수 없도록 만들어 해커가 쉽게 앱을 분석하거나 침입하지 못하도록 막아준다. 현재 앱 수트는 각종 은행과 증권사, 기업, 공공기관 등 200곳 이상에서 제공하는 앱 1,000여 개에 탑재됐다.

두 번째 사업은 모의 해킹을 통해 보안 취약점을 찾아내는 보안 컨설팅 사업인 레드팀 서비스다. 레드팀 서비스는 기업이나 공공기관의 의뢰를 받아 해커의 관점에서 전산 시스템에 침투하며 취약점을 찾아내 보완할 수 있도록 알려준다. 대기업, 금융사, 공공기관 등 수백 곳이 이 업체의 레드팀 서비스를 받는다.

박 대표에 따르면 모의 해킹 결과 뚫리지 않는 기업은 없다. "아무리 뛰어난 보안 소프트웨어를 사용해도 화이트 해커들이 모두 뚫고 들어가요."

모의 해킹에 필요한 화이트 해커는 다양한 방식으로 채용한다. "내·외부 추천과 자체 화이트 해커 양성 프로그램 'SSL'을 통해 선발해요. 사회 공헌 차원에서 무료로 하는 SSL은 매년 9월 희망자를 모집해 3개월 이상 교육한 뒤 성적 우수자를 채용하죠. 이때 해킹 기술을 악용하지 않도록 윤리 교육을 강조해요. 전체 직원 90명 가운데 60명이 화이트 해커와 개발자 등 연구인력이에요."

박찬암 스틸리언 대표는 최근 증가하는 휴대폰 해킹 위험을 경고했다. 국가 간 조직적 해킹이 벌어지는 사이버 전쟁에서 휴대폰은 해킹의 최우선 표적이 되고 있다. 남동균 인턴기자

휴대폰, 드론, 위성 해킹…사이버 전쟁 기술 연구

세 번째 사업은 정부 의뢰를 받아 실시하는 사이버 전쟁 기술 연구다. 사이버 전쟁 기술이란 국가안보를 위해 전산시스템을 공격하거나 보호하는 해킹 및 보안기술이다. 관련 기술은 정부에만 제공하고 민간에 공개하지 않는다.

휴대폰은 사이버 전쟁에서 첫 번째 해킹 대상으로 급부상했다. 정부나 기업 주요 인사의 휴대폰을 해킹해 도청하거나 저장된 자료를 빼낸다. 실제로 아마존의 최고 경영자 제프 베이조스의 휴대폰 해킹 사례는 널리 알려졌다.

박 대표에 따르면 우크라이나 전쟁에서도 휴대폰 해킹 기술이 사용됐다. "우크라이나가 러시아와 전쟁 발발 후 이스라엘에 몇백억 원을 주고 휴대폰 해킹 기술을 사려고 했어요. 그런데 이스라엘이 팔지 않았어요. 이미 해당 기술을 러시아에 팔았기 때문이죠."

최근 전쟁에서 많이 쓰이는 드론과 인공위성도 주요 해킹 대상이다. "드론과 인공위성을 해킹해 원하는 대로 조종하거나 정보를 빼내는 기술을 연구하고 있어요."

인공지능(AI)도 해킹 확대에 한몫한다. "AI의 등장으로 해킹 도구를 쉽게 만들 수 있죠. 또 AI가 해킹 시간을 줄여줘요. 여기에 AI도 해킹 취약점이 있어서 이를 막는 보안 기술이 중요해졌어요."

사이버 전쟁에서 중요한 것은 적도 우방도 없다는 점이다. 실제로 국가 지원이 의심되는 해킹이 늘고 있다. "예전에는 돈이나 재미를 노린 해킹이 많았으나 요즘은 공공연한 비밀로 미국 러시아 중국 북한 등 국가에서 양성한 해킹 조직의 정교한 해킹이 늘었어요. 그만큼 막기도 어렵고 1년 이상 해킹이 이어져요."

투자 유치와 상장하지 않는 이유

지난해 이 업체는 약 100억 원 매출과 영업이익률 10%를 기록했다. "연평균 영업이익률 30~40%를 기록했으나 지난해 채용과 사무실을 늘리면서 잠시 영업이익률이 줄었어요. 상반기 성장세로 보면 올해 사상 최대 매출을 예상해요."

해외에도 적극 진출할 계획이다. "2019년 인도네시아에 법인을 세웠고 지난해 일본에 지사를 설립했어요. 동남아시아와 일본은 고객사가 꾸준히 늘고 있어서 발전 가능성이 높아요."

특이하게도 그는 투자를 받지 않고 증시 상장 계획도 없다. "창업하자마자 돈을 잘 벌어 투자를 받을 필요가 없었죠. 앞으로도 투자 유치 계획이 없어요. 돈 버는 것 못지않게 국가와 사회에 도움 주는 일을 계속하는 것이 중요하다고 생각해 돈 벌기 위한 상장도 하지 않을 생각이에요."

그래서 그는 돈을 벌기 위한 해킹 유혹에 흔들리지 않는다. "화이트 해커로 당당하게 일할 수 있으니 굳이 돈을 좇는 블랙 해커가 되고 싶지 않아요. 블랙 해커는 노릴 수 있는 게 돈밖에 없지만 화이트 해커는 사회 공헌과 보람까지 얻을 수 있죠."

최연진 IT전문기자 wolfpack@hankookilbo.com